Détails d'un résultat - Amazon GuardDuty
Présentation des résultatsRessourceDétails de recherche de la séquence d'attaqueRDSdétails de l'utilisateur de la base de données (DB)Surveillance du temps d'exécution : recherche de détailsEBSdétails de l'analyse des volumesProtection contre les logiciels malveillants pour la EC2 recherche de détailsProtection contre les logiciels malveillants pour S3 : recherche de détailsActionActeur ou cibleDétails de géolocalisationInformations supplémentairesPreuveComportement anormal

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Détails d'un résultat

Dans la GuardDuty console Amazon, vous pouvez consulter les détails des recherches dans la section récapitulative des recherches. Les détails des résultats varient en fonction du type de résultat.

Deux détails principaux permettent de déterminer les types d'information disponibles pour tout résultat. Le premier est le type de ressource, qui peut être Instance AccessKeyS3Bucket,S3Object, Kubernetes clusterECS cluster,Container,RDSDBInstance,RDSLimitlessDB, ouLambda. Le deuxième détail qui détermine les informations d'un résultat est le rôle de la ressource. Le rôle de la ressource peut être Target tel que la ressource a été la cible d'une activité suspecte. Pour les résultats du type d'instance, le rôle de la ressource peut également être Actor, ce qui signifie que votre ressource était l'acteur à l'origine de l'activité suspecte. Cette rubrique décrit certains des détails les plus fréquemment disponibles en matière de résultats. Pour GuardDuty Types de recherche liés à la surveillance du temps etProtection contre les programmes malveillants pour le type de recherche S3, le rôle de ressource n'est pas renseigné.

Présentation des résultats

La section Présentation d'un résultat contient les fonctionnalités d'identification les plus élémentaires du résultat, notamment les informations suivantes :

  • ID du compte : identifiant du AWS compte sur lequel s'est déroulée l'activité qui a incité GuardDuty à générer ce résultat.

  • Nombre : nombre de fois qu'une activité correspondant à ce modèle GuardDuty a été agrégée à cet identifiant de recherche.

  • Créé à : heure et date de création de ce résultat. Si cette valeur diffère de la valeur Mise à jour à, cela indique que l'activité s'est produite plusieurs fois et qu'il s'agit d'un problème continu.

    Note

    Les horodatages des résultats dans la GuardDuty console apparaissent dans votre fuseau horaire local, tandis que les JSON exportations et les CLI sorties affichent les horodatages. UTC

  • ID de résultat : identifiant unique pour ce type de résultat et ensemble de paramètres. Les nouvelles occurrences d'activité correspondant à ce modèle seront regroupées sous le même ID.

  • Type de résultat : chaîne formatée représentant le type d'activité qui a déclenché le résultat. Pour de plus amples informations, veuillez consulter GuardDuty format de recherche.

  • Région : AWS région dans laquelle le résultat a été généré. Pour de plus amples informations sur les régions prises en charge, veuillez consulter Régions et points de terminaison.

  • ID de ressource : ID de la AWS ressource par rapport à laquelle a eu lieu l'activité qui a incité GuardDuty à générer ce résultat.

  • ID de scan : applicable aux résultats lorsque la protection contre les GuardDuty programmes malveillants EC2 est activée, il s'agit d'un identifiant de l'analyse des programmes malveillants exécutée sur les EBS volumes attachés à l'EC2instance ou à la charge de travail du conteneur potentiellement compromise. Pour de plus amples informations, veuillez consulter Protection contre les logiciels malveillants pour la EC2 recherche de détails.

  • Gravité : niveau de gravité attribué à un résultat : critique, élevé, moyen ou faible. Pour de plus amples informations, veuillez consulter Niveaux de gravité des résultats.

  • Mis à jour à — La dernière fois que ce résultat a été mis à jour avec une nouvelle activité correspondant au modèle qui a incité GuardDuty à générer ce résultat.

Ressource

La ressource affectée fournit des détails sur la AWS ressource ciblée par l'activité initiatrice. Les informations disponibles varient selon le type de ressource et le type d'action.

Rôle de ressource : rôle de la AWS ressource à l'origine de la recherche. Cette valeur peut être TARGETou ACTOR, et indique si votre ressource était la cible de l'activité suspecte ou l'acteur qui a effectué l'activité suspecte.

Type de ressource : type de la ressource affectée. Si plusieurs ressources étaient impliquées, un résultat peut inclure plusieurs types de ressource. Les types de ressources sont Instance AccessKey, S3Bucket, S3Object,,, Container KubernetesCluster, ECSCluster, et Lambda RDSDBInstance. RDSLimitlessDB Selon le type de ressource, différents détails de résultats sont disponibles. Sélectionnez un onglet d'option de ressource pour en savoir plus sur les détails disponibles pour cette ressource.

Instance

Détails de l'instance :

Note

Certains détails de l'instance peuvent être manquants si l'instance a déjà été arrêtée ou si l'APIappel sous-jacent provient d'une EC2 instance d'une autre région lors d'un appel interrégionalAPI.

  • ID d'instance : ID de l'EC2instance impliquée dans l'activité qui a incité GuardDuty à générer le résultat.

  • Type d'instance : type de l'EC2instance impliquée dans la recherche.

  • Heure de lancement : date et heure auxquelles l'instance a été lancée.

  • Outpost ARN — Le nom de la ressource Amazon (ARN) de AWS Outposts. Applicable uniquement aux AWS Outposts instances. Pour plus d'informations, voir Qu'est-ce que c'est AWS Outposts ? dans le Guide de l'utilisateur pour les racks Outposts.

  • Nom du groupe de sécurité : nom du groupe de sécurité attaché à l'instance concernée.

  • ID du groupe de sécurité : ID du groupe de sécurité attaché à l'instance concernée.

  • État de l'instance : état actuel de l'instance ciblée.

  • Zone de disponibilité : zone de disponibilité de la Région AWS dans laquelle se trouve l'instance concernée.

  • ID de l'image : ID de l'Amazon Machine Image utilisée pour créer l'instance impliquée dans l'activité.

  • Description de l'image : description de l'ID de l'Amazon Machine Image utilisée pour créer l'instance impliquée dans l'activité.

  • Balises : liste des balises attachées à cette ressource, répertoriées au format key:value.

AccessKey

Détails de la clé d'accès :

  • ID de clé d'accès : ID de clé d'accès de l'utilisateur impliqué dans l'activité GuardDuty à l'origine de la recherche.

  • ID principal : identifiant principal de l'utilisateur impliqué dans l'activité GuardDuty à l'origine de la recherche.

  • Type d'utilisateur : type d'utilisateur impliqué dans l'activité qui a incité GuardDuty à générer le résultat. Pour plus d'informations, voir CloudTrail userIdentity élément.

  • Nom d'utilisateur : nom de l'utilisateur impliqué dans l'activité GuardDuty à l'origine de la recherche.

S3Bucket

Détails du compartiment Amazon S3 :

  • Nom : nom du compartiment impliqué dans le résultat.

  • ARN— Le ARN compartiment impliqué dans la découverte.

  • Propriétaire : ID utilisateur canonique de l'utilisateur propriétaire du compartiment impliqué dans le résultat. Pour plus d'informations sur les utilisateurs canoniques, IDs voir les identifiants de AWS compte.

  • Type : le type de résultat de compartiment peut être Destination ou Source.

  • Détails du chiffrement côté serveur par défaut : détails du chiffrement pour le compartiment.

  • Balises de compartiment : liste des balises attachées à cette ressource, répertoriées au format key:value.

  • Autorisations effectives : évaluation de toutes les autorisations et stratégies effectives sur le compartiment qui indique si le compartiment impliqué est exposé publiquement. Les valeurs peuvent être Publique ou Non publique.

S3Object

  • Détails de l'objet S3 — Inclut les informations suivantes sur l'objet S3 scanné :

    • ARN— Amazon Resource Name (ARN) de l'objet S3 scanné.

    • Clé : nom attribué au fichier lors de sa création dans le compartiment S3.

    • ID de version : lorsque vous avez activé le contrôle de version des compartiments, ce champ indique l'identifiant de version associé à la dernière version de l'objet S3 scanné. Pour plus d'informations, consultez la section Utilisation du versionnement dans les compartiments S3 dans le guide de l'utilisateur Amazon S3.

    • eTag— Représente la version spécifique de l'objet S3 scanné.

    • Hachage : hachage de la menace détectée dans cette constatation.

  • Détails du compartiment S3 : inclut les informations suivantes sur le compartiment Amazon S3 associé à l'objet S3 scanné :

    • Nom — Indique le nom du compartiment S3 qui contient l'objet.

    • ARN— Amazon Resource Name (ARN) du compartiment S3.

  • Propriétaire : identifiant canonique du propriétaire du compartiment S3.

EKSCluster

Détails du cluster Kubernetes :

  • Nom : nom du cluster Kubernetes.

  • ARN— Celui ARN qui identifie le cluster.

  • Créé à : heure et date de création de ce cluster.

    Note

    Les horodatages des résultats dans la GuardDuty console apparaissent dans votre fuseau horaire local, tandis que les JSON exportations et les CLI sorties affichent les horodatages. UTC

  • VPCID — L'ID du VPC qui est associé à votre cluster.

  • État : extrait l'état actuel du cluster.

  • Balises : métadonnées que vous appliquez au cluster pour faciliter le classement et l'organisation. Chaque balise est constituée d'une clé et d'une valeur facultative, répertoriées au format key:value. Vous pouvez définir à la fois la clé et la valeur.

    Les balises de cluster ne sont pas propagées vers les autres ressources associées au cluster.

Détails de la charge de travail Kubernetes :

  • Type : type de charge de travail Kubernetes, tel que le pod, le déploiement et la tâche.

  • Nom : nom de la charge de travail Kubernetes.

  • Uid : identifiant unique de la charge de travail Kubernetes.

  • Créé à : heure et date de création de cette charge de travail.

  • Étiquettes : paires clé-valeur attachées à la charge de travail Kubernetes.

  • Conteneurs : détails du conteneur exécuté dans le cadre de la charge de travail de Kubernetes.

  • Espace de noms : la charge de travail appartient à cet espace de noms Kubernetes.

  • Volumes : volumes utilisés par la charge de travail Kubernetes.

    • Chemin d'accès de l'hôte : représente un fichier ou un répertoire préexistant sur la machine hôte vers lequel le volume est mappé.

    • Nom : nom du volume.

  • Contexte de sécurité du pod : définit les paramètres de contrôle des privilèges et des accès pour tous les conteneurs d'un pod.

  • Réseau hôte : définissez sur true si les pods sont inclus dans la charge de travail Kubernetes.

Informations utilisateur Kubernetes :

  • Groupes : groupes Kubernetes RBAC (contrôle basé sur l'accès aux rôles) de l'utilisateur impliqué dans l'activité qui a généré le résultat.

  • ID : ID unique de l'utilisateur Kubernetes.

  • Nom d'utilisateur : nom de l'utilisateur Kubernetes qui participe à l'activité à l'origine du résultat.

  • Nom de session : entité qui a assumé le IAM rôle avec les autorisations KubernetesRBAC.

ECSCluster

ECSdétails du cluster :

  • ARN— Celui ARN qui identifie le cluster.

  • Nom : nom du cluster.

  • État : extrait l'état actuel du cluster.

  • Nombre de services actifs : nombre de services exécutés sur le cluster à l'état ACTIVE. Vous pouvez consulter ces services avec ListServices

  • Nombre d'instances de conteneur enregistrées : nombre d'instances de conteneur enregistrées dans le cluster. Cela inclut les instances de conteneur à la fois à l'état ACTIVE et DRAINING.

  • Nombre de tâches en cours : nombre de tâches du cluster qui sont à l'état RUNNING.

  • Balises : métadonnées que vous appliquez au cluster pour faciliter le classement et l'organisation. Chaque balise est constituée d'une clé et d'une valeur facultative, répertoriées au format key:value. Vous pouvez définir à la fois la clé et la valeur.

  • Conteneurs : détails sur le conteneur associé à la tâche :

    • Nom de conteneur : nom du conteneur.

    • Image de conteneur : image du conteneur.

  • Détails de la tâche : détails d'une tâche dans un cluster.

    • ARN— Le nom de la ressource Amazon (ARN) de la tâche.

    • Définition ARN : nom de ressource Amazon (ARN) de la définition de tâche qui crée la tâche.

    • Version : compteur de version de la tâche.

    • Tâche créée à : horodatage Unix lors de la création de la tâche.

    • Tâche démarrée à : horodatage Unix lors du démarrage d'une tâche.

    • Tâche démarrée par : balise spécifiée lors du démarrage d'une tâche.

Container

Détails du conteneur :

  • Exécution du conteneur : exécution du conteneur (comme docker ou containerd) utilisé pour exécuter le conteneur.

  • ID — L'ID de l'instance de conteneur ou ARN les entrées complètes de l'instance de conteneur.

  • Nom : nom du conteneur.

  • Image : image de l'instance de conteneur.

  • Montages de volume : liste des montages de volume de conteneurs. Un conteneur peut monter un volume sous son système de fichiers.

  • Contexte de sécurité : le contexte de sécurité du conteneur définit les paramètres de contrôle de privilèges et d'accès pour un conteneur.

  • Détails du processus : décrit les détails du processus associé au résultat.

RDSDBInstance

RDSDBInstancedétails :

Note

Cette ressource est disponible dans les résultats de RDS protection relatifs à l'instance de base de données.

  • ID de l'instance de base de données : identifiant associé à l'instance de base de données impliquée dans la GuardDuty recherche.

  • Moteur : nom du moteur de base de données de l'instance de base de données impliquée dans le résultat. Les valeurs possibles sont Aurora My SQL -Compatible ou Aurora Postgre SQL -Compatible.

  • Version du moteur : version du moteur de base de données impliquée dans la GuardDuty recherche.

  • ID du cluster de base de données : identifiant du cluster de base de données qui contient l'identifiant de l'instance de base de données impliquée dans la GuardDuty recherche.

  • Instance de base de données ARN : ARN qui identifie l'instance de base de données impliquée dans la GuardDuty recherche.

RDSLimitlessDB

RDSLimitlessDBdétails :

Cette ressource est disponible dans les résultats de RDS protection relatifs à la version du moteur prise en charge de Limitless Database.

  • Identifiant du groupe de partitions de base de données : nom associé au groupe de partitions de base de données Limitless.

  • ID de ressource du groupe de partitions de base de données : identifiant de ressource du groupe de partitions de base de données au sein de la base de données Limitless.

  • Groupe de partitions de base de données ARN : nom de ressource Amazon (ARN) qui identifie le groupe de partitions de base de données.

  • Moteur — Identifiant de la base de données Limitless impliquée dans la recherche.

  • Version du moteur : version du moteur de base de données Limitless.

  • Identifiant du cluster de base de données : nom du cluster de base de données qui fait partie de la base de données Limitless.

Pour plus d'informations sur les informations relatives à l'utilisateur et à l'authentification de la base de données potentiellement affectée, consultezRDSdétails de l'utilisateur de la base de données (DB).

Lambda
Détails de la fonction Lambda

  • Nom de la fonction : nom de la fonction Lambda impliquée dans le résultat.

  • Version de la fonction : version de la fonction Lambda impliquée dans le résultat.

  • Description de la fonction : description de la fonction Lambda impliquée dans le résultat.

  • Function ARN : nom de ressource Amazon (ARN) de la fonction Lambda impliquée dans la recherche.

  • ID de révision : ID de révision de la version de la fonction Lambda.

  • Rôle : rôle d'exécution de la fonction Lambda impliquée dans le résultat.

  • VPCconfiguration — La VPC configuration Amazon, y compris l'VPCID, le groupe de sécurité et le sous-réseau IDs associés à votre fonction Lambda.

    • VPCID : ID de l'Amazon VPC associé à la fonction Lambda impliquée dans la recherche.

    • Sous-réseau IDs : ID des sous-réseaux associés à votre fonction Lambda.

    • Groupe de sécurité : groupe de sécurité attaché à la fonction Lambda concernée. Cela inclut le nom et l'ID du groupe de sécurité.

  • Balises : liste des balises attachées à cette ressource, répertoriées au format de paire key:value.

Détails de recherche de la séquence d'attaque

GuardDuty fournit des informations détaillées sur chaque recherche générée dans votre compte. Ces informations vous aident à comprendre les raisons de cette découverte. Cette section se concentre sur les détails associés àTypes de recherche de séquences d'attaques. Cela inclut des informations telles que les ressources potentiellement affectées, la chronologie des événements, les indicateurs, les signaux et les points de terminaison impliqués dans le résultat.

Pour afficher les détails associés aux signaux qui sont des GuardDuty résultats, consultez les sections associées de cette page.

Dans la GuardDuty console, lorsque vous sélectionnez une recherche de séquence d'attaque, le panneau latéral détaillé est divisé en onglets suivants :

  • Vue d'ensemble : fournit une vue compacte des détails de la séquence d'attaque, y compris les signaux, les MITRE tactiques et les ressources potentiellement touchées.

  • Signaux : affiche une chronologie des événements impliqués dans une séquence d'attaque.

  • Ressources — Fournit des informations sur les ressources potentiellement touchées ou les ressources potentiellement menacées.

La liste suivante fournit des descriptions associées aux détails de la recherche de la séquence d'attaque.

Signaux

Un signal peut être une API activité ou une découverte GuardDuty utilisée pour détecter une séquence d'attaque trouvée. GuardDuty prend en compte les signaux faibles qui ne se présentent pas comme une menace claire, les synthétise et les met en corrélation avec les résultats générés individuellement. Pour plus de contexte, l'onglet Signaux fournit une chronologie des signaux, telle qu'observée par GuardDuty.

Chaque signal, c'est-à-dire une GuardDuty constatation, possède son propre niveau de gravité et sa propre valeur. Dans la GuardDuty console, vous pouvez sélectionner chaque signal pour afficher les détails associés.

Acteurs

Fournit des informations sur les acteurs de la menace impliqués dans une séquence d'attaque. Pour plus d'informations, consultez Actor in Amazon GuardDuty API Reference.

Points de terminaison

Fournit des détails sur les points de terminaison du réseau utilisés dans cette séquence d'attaque. Pour plus d'informations, consultez NetworkEndpointAmazon GuardDuty API Reference. Pour plus d'informations sur le mode GuardDuty de détermination de l'emplacement, consultezDétails de géolocalisation.

Indicateurs

Inclut les données observées qui correspondent au schéma d'un problème de sécurité. Ces données indiquent pourquoi il GuardDuty existe une indication d'une activité potentiellement suspecte. Par exemple, lorsque le nom de l'indicateur estHIGH_RISK_API, cela indique une action couramment utilisée par les acteurs malveillants, ou une action sensible susceptible d'avoir un impact potentiel sur un Compte AWS, comme l'accès aux informations d'identification ou la modification d'une ressource.

Le tableau suivant inclut une liste d'indicateurs potentiels et leurs descriptions :

Nom de l'indicateur Description

SUSPICIOUS_USER_AGENT

L'agent utilisateur est associé à des applications suspectes ou exploitées potentiellement connues, telles que les clients Amazon S3 et les outils d'attaque.

SUSPICIOUS_NETWORK

Le réseau est associé à de faibles scores de réputation connus, tels que des fournisseurs de réseaux privés virtuels (VPN) risqués et des services de proxy.

MALICIOUS_IP

L'adresse IP a confirmé les informations sur les menaces indiquant une intention malveillante.

TOR_IP

L'adresse IP est associée à un nœud de sortie Tor.

HIGH_RISK_API

Le AWS API qui inclut le Service AWS nom et eventName indique une action couramment utilisée par les acteurs de la menace, ou qui est une action sensible susceptible d'avoir un impact potentiel sur un Compte AWS, tel que l'accès aux informations d'identification ou la modification des ressources.

ATTACK_TACTIC

Les MITRE tactiques, telles que Discovery et Impact.

ATTACK_TECHNIQUE

MITRETechnique utilisée par l'auteur de la menace dans une séquence d'attaque. Les exemples incluent l'accès aux ressources et leur utilisation involontaire, ainsi que l'exploitation des vulnérabilités.

UNUSUAL_API_FOR_ACCOUNT

Indique que le AWS API a été invoqué de manière anormale, sur la base de référence historique du compte. Pour de plus amples informations, veuillez consulter Comportement anormal.

UNUSUAL_ASN_FOR_ACCOUNT

Indique que le numéro de système autonome (ASN) a été identifié comme anormal, sur la base de référence historique du compte. Pour de plus amples informations, veuillez consulter Comportement anormal.

UNUSUAL_ASN_FOR_USER

Indique que le numéro de système autonome (ASN) a été identifié comme anormal, sur la base de la référence historique de l'utilisateur. Pour de plus amples informations, veuillez consulter Comportement anormal.

MITREtactiques

Ce champ indique les tactiques MITRE ATT &CK que l'auteur de la menace tente de mettre en œuvre dans le cadre d'une séquence d'attaque. GuardDuty utilise le ACK framework MITREATT& qui ajoute du contexte à l'ensemble de la séquence d'attaque. Les couleurs utilisées par la GuardDuty console pour spécifier les objectifs de menace utilisés par l'auteur de la menace s'alignent sur les couleurs indiquant les niveaux critique, élevé, moyen et faibleNiveaux de gravité des résultats.

Indicateurs de réseau

Les indicateurs incluent une combinaison de valeurs d'indicateurs de réseau qui expliquent pourquoi un réseau indique un comportement suspect. Cette section s'applique uniquement lorsque l'indicateur inclut SUSPICIOUS_NETWORK ouMALICIOUS_IP. L'exemple suivant montre comment les indicateurs de réseau peuvent être associés à un indicateur, où :

  • AnyCompanyest un système autonome (AS).

  • TUNNEL_VPNIS_ANONYMOUS, et ALLOWS_FREE_ACCESS sont les indicateurs du réseau. 

...{
    "key": "SUSPICIOUS_NETWORK",
    "values": [{
        "AnyCompany": [
            "TUNNEL_VPN",
            "IS_ANONYMOUS",
            "ALLOWS_FREE_ACCESS"
        ]
    }]
}
...

Le tableau suivant inclut les valeurs des indicateurs de réseau et leur description. Ces balises sont ajoutées en fonction des informations sur les menaces GuardDuty collectées auprès de sources telles que Spur.

Valeur de l'indicateur de réseau Description

TUNNEL_VPN

L'adresse réseau ou IP est associée à un type de VPN tunnel. Il s'agit d'un protocole spécifique qui permet d'établir une connexion sécurisée et cryptée entre deux points sur un réseau public.

TUNNEL_PROXY

L'adresse réseau ou IP est associée à un type de tunnel proxy. Il s'agit d'un protocole spécifique qui permet d'établir une connexion via un serveur proxy.

TUNNEL_RDP

L'adresse réseau ou IP est associée à l'utilisation d'une méthode d'encapsulation du trafic du poste de travail distant (RDP) dans un autre protocole afin d'améliorer la sécurité, de contourner les restrictions du réseau ou de permettre un accès à distance via des pare-feux.

IS_ANONYMOUS

L'adresse réseau ou IP est associée à un service anonyme ou proxy connu. Cela peut indiquer des activités suspectes potentielles qui se cachent derrière des réseaux anonymes.

KNOWN_THREAT_OPERATOR

L'adresse réseau ou IP est associée à un fournisseur de tunnel connu à risque. Cela indique qu'une activité suspecte a été détectée à partir d'une adresse IP liée à un service de tunnelingVPN, un proxy ou un autre service de tunneling fréquemment utilisé à des fins malveillantes.

ALLOWS_FREE_ACCESS

L'adresse réseau ou IP est associée à un opérateur de tunnel qui permet d'accéder à son service sans authentification ni paiement. Cela peut également inclure des comptes d'essai ou des expériences d'utilisation limitées proposées par divers services en ligne.

ALLOWS_CRYPTO

L'adresse réseau ou IP est associée à un fournisseur de tunnel (tel qu'VPNun service proxy) qui accepte exclusivement les cryptomonnaies ou autres monnaies numériques comme mode de paiement.

ALLOWS_TORRENTS

L'adresse réseau ou IP est associée à des services ou à des plateformes qui autorisent le trafic torrent. Ces services sont souvent associés au soutien et à l'utilisation de torrents, ainsi qu'à des activités de contournement des droits d'auteur.

RISK_CALLBACK_PROXY

L'adresse réseau ou IP est associée à des appareils connus pour acheminer le trafic vers des proxys résidentiels, des proxys malveillants ou d'autres réseaux de type proxy de rappel. Cela ne signifie pas que toutes les activités du réseau sont liées au proxy, mais que le réseau a la capacité d'acheminer le trafic pour le compte de ces réseaux proxy.

RISK_GEO_MISMATCH

Cet indicateur suggère que l'emplacement du centre de données ou de l'hébergement d'un réseau est différent de l'emplacement attendu des utilisateurs et des appareils qui le sous-tendent. Si cette valeur d'indicateur n'est pas présente, cela ne signifie pas qu'il n'y a aucune incompatibilité. Cela peut impliquer que les données sont insuffisantes pour confirmer l'écart.

IS_SCANNER

L'adresse réseau ou IP est associée à des tentatives de connexion persistantes sur des formulaires Web.

RISK_WEB_SCRAPING

Le réseau d'adresses IP est associé aux clients Web automatisés et à d'autres activités Web programmatiques.

CLIENT_BEHAVIOR_FILE_SHARING

L'adresse réseau ou IP est associée au comportement du client indiquant des activités de partage de fichiers, telles que les réseaux peer-to-peer (P2P) ou les protocoles de partage de fichiers.

CATEGORY_COMMERCIAL_VPN

L'adresse réseau ou IP est associée à un opérateur de tunnel considéré comme un service de réseau privé virtuel commercial (VPN) traditionnel opérant dans l'espace d'un centre de données.

CATEGORY_FREE_VPN

L'adresse réseau ou IP est associée à un opérateur de tunnel classé dans la catégorie des VPN services entièrement gratuits.

CATEGORY_RESIDENTIAL_PROXY

L'adresse réseau ou IP est associée à un opérateur de tunnel classé dans la catégorie des logiciels malveillants ou des services proxy get-paid-to sourcés. SDK

OPERATOR_XXX

Le nom du fournisseur de services qui exploite ce tunnel.

RDSdétails de l'utilisateur de la base de données (DB)

Note

Cette section s'applique aux résultats obtenus lorsque vous activez la fonctionnalité de RDS protection dans GuardDuty. Pour de plus amples informations, veuillez consulter GuardDuty Protection RDS.

La GuardDuty découverte fournit les informations suivantes relatives à l'utilisateur et à l'authentification de la base de données potentiellement compromise :

  • Utilisateur : nom d'utilisateur utilisé pour effectuer la tentative de connexion anormale.

  • Application : nom de l'application servant à effectuer la tentative de connexion anormale.

  • Base de données : nom de l'instance de base de données impliquée dans la tentative de connexion anormale.

  • SSL— Version du protocole Secure Socket Layer (SSL) utilisée pour le réseau.

  • Méthode d'authentification : méthode d'authentification utilisée par l'utilisateur impliqué dans le résultat.

Pour plus d'informations sur la ressource potentiellement compromise, consultezRessource.

Surveillance du temps d'exécution : recherche de détails

Note

Ces informations ne peuvent être disponibles que GuardDuty si l'un desGuardDuty Types de recherche liés à la surveillance du temps.

Cette section contient les détails de l'exécution, tels que les détails du processus et tout contexte requis. Les détails du processus décrivent les informations relatives au processus observé, et le contexte d'exécution décrit toute information supplémentaire concernant l'activité potentiellement suspecte.

Détails du processus

  • Nom : nom du processus.

  • Chemin exécutable : chemin absolu du fichier exécutable du processus.

  • Executable SHA -256 — Le SHA256 hachage de l'exécutable du processus.

  • Espace de noms PID : ID de processus du processus dans un espace de PID noms secondaire autre que l'espace de noms au niveau PID de l'hôte. Pour les processus se trouvant à l'intérieur d'un conteneur, il s'agit de l'ID de processus observé à l'intérieur du conteneur.

  • Répertoire de travail actuel : répertoire de travail actuel du processus.

  • ID de processus : ID attribué au processus par le système d'exploitation.

  • startTime— Heure à laquelle le processus a commencé. Ceci est au format UTC de chaîne de date (2023-03-22T19:37:20.168Z).

  • UUID— L'identifiant unique attribué au processus par GuardDuty.

  • Parent UUID : ID unique du processus parent. Cet identifiant est attribué au processus parent par GuardDuty.

  • Utilisateur : utilisateur qui a exécuté le processus.

  • ID utilisateur : ID de l'utilisateur qui a exécuté le processus.

  • ID utilisateur effectif : ID de l'utilisateur effectif du processus au moment de l'événement.

  • Lignée : informations sur les ancêtres du processus.

    • ID de processus : ID attribué au processus par le système d'exploitation.

    • UUID— L'identifiant unique attribué au processus par GuardDuty.

    • Chemin exécutable : chemin absolu du fichier exécutable du processus.

    • ID utilisateur effectif : ID de l'utilisateur effectif du processus au moment de l'événement.

    • Parent UUID : ID unique du processus parent. Cet identifiant est attribué au processus parent par GuardDuty.

    • Heure de début : heure à laquelle le processus a démarré.

    • Espace de noms PID : ID de processus du processus dans un espace de PID noms secondaire autre que l'espace de noms au niveau PID de l'hôte. Pour les processus se trouvant à l'intérieur d'un conteneur, il s'agit de l'ID de processus observé à l'intérieur du conteneur.

    • ID utilisateur : ID de l'utilisateur qui a exécuté le processus.

    • Nom : nom du processus.

Contexte d'exécution

Parmi les champs suivants, un résultat généré peut inclure uniquement les champs correspondant au type de résultat.

  • Source de montage : chemin sur l'hôte monté par le conteneur.

  • Cible de montage : chemin du conteneur mappé au répertoire hôte.

  • Type de système de fichiers : représente le type du système de fichiers monté.

  • Indicateurs : représente les options qui contrôlent le comportement de l'événement impliqué dans ce résultat.

  • Processus de modification : informations sur le processus qui a créé ou modifié un fichier binaire, un script ou une bibliothèque dans un conteneur lors de l'exécution.

  • Modifié à : horodatage auquel le processus a créé ou modifié un binaire, un script ou une bibliothèque dans un conteneur au moment de l'exécution. Ce champ est au format de chaîne de UTC date (2023-03-22T19:37:20.168Z).

  • Chemin de la bibliothèque : chemin d'accès à la nouvelle bibliothèque chargée.

  • Valeur de préchargement LD : valeur de la variable d'environnement LD_PRELOAD.

  • Chemin du socket : chemin d'accès au socket Docker auquel l'utilisateur a accédé.

  • Chemin d'accès au binaire Runc : chemin d'accès au binaire runc.

  • Chemin d'accès à l'agent de version : chemin d'accès au fichier de l'agent de version cgroup.

  • Exemple de ligne de commande : exemple de ligne de commande impliquée dans l'activité potentiellement suspecte.

  • Catégorie d'outil : catégorie à laquelle appartient l'outil. Voici quelques exemples : Backdoor Tool, Pentest Tool, Network Scanner et Network Sniffer.

  • Nom de l'outil : nom de l'outil potentiellement suspect.

  • Chemin du script : chemin d'accès au script exécuté qui a généré le résultat.

  • Chemin du fichier de menaces : chemin suspect pour lequel les informations relatives aux menaces ont été trouvées.

  • Nom du service : nom du service de sécurité qui a été désactivé.

EBSdétails de l'analyse des volumes

Note

Cette section s'applique aux résultats obtenus lorsque vous activez l'analyse des programmes malveillants GuardDuty initiée par l'intermédiaire du scan. Protection contre les logiciels malveillants pour EC2

L'analyse EBS des volumes fournit des détails sur le EBS volume attaché à l'EC2instance ou à la charge de travail du conteneur potentiellement compromise.

  • ID de numérisation : identifiant de l'analyse des logiciels malveillants.

  • Analyse démarrée à : date et heure du début de l'analyse des logiciels malveillants.

  • Analyse terminée à : date et heure de fin de l'analyse des logiciels malveillants.

  • ID de recherche du déclencheur : ID de recherche du GuardDuty résultat à l'origine de cette analyse des logiciels malveillants.

  • Sources — Les valeurs potentielles sont Bitdefender etAmazon.

    Pour plus d'informations sur le moteur d'analyse utilisé pour détecter les programmes malveillants, consultezGuardDuty moteur d'analyse pour la détection des malwares.

  • Détections d'analyse : vue complète des détails et des résultats de chaque analyse des logiciels malveillants.

    • Nombre d'éléments analysés : nombre total de fichiers numérisés. Fournit des détails tels que totalGb, files et volumes.

    • Nombre d'éléments de menaces détectées : nombre total de files malveillants détectés lors de l'analyse.

    • Informations sur les menaces les plus graves : informations sur la menace la plus grave détectée lors de l'analyse et sur le nombre de fichiers malveillants. Fournit des détails tels que severity, threatName et count.

    • Menaces détectées par nom : élément du conteneur regroupant les menaces de tous niveaux de gravité. Fournit des détails tels que itemCount, uniqueThreatNameCount, shortened et threatNames.

Protection contre les logiciels malveillants pour la EC2 recherche de détails

Note

Cette section s'applique aux résultats obtenus lorsque vous activez l'analyse des programmes malveillants GuardDuty initiée par l'intermédiaire du scan. Protection contre les logiciels malveillants pour EC2

Lorsque la protection contre les programmes EC2 malveillants pour l'analyse détecte un logiciel malveillant, vous pouvez consulter les détails de l'analyse en sélectionnant le résultat correspondant sur la page Résultats de la https://console.aws.amazon.com/guardduty/console. La sévérité de votre protection contre les EC2 programmes malveillants dépend de la gravité de la GuardDuty détection.

Les informations suivantes sont disponibles dans la section Menaces détectées du panneau de détails.

  • Nom : nom de la menace, obtenu en groupant les fichiers par détection.

  • Gravité : gravité de la menace détectée.

  • Hash — Le SHA -256 du fichier.

  • Chemin du fichier : emplacement du fichier malveillant dans le EBS volume.

  • Nom du fichier : nom du fichier dans lequel la menace a été détectée.

  • Volume ARN : le nombre ARN de EBS volumes numérisés.

Les informations suivantes sont disponibles dans la section Détails de l'analyse des logiciels malveillants du panneau des détails.

  • ID de numérisation : ID de numérisation des logiciels malveillants.

  • Analyse démarrée à : date et heure du début de l'analyse.

  • Analyse terminée à : date et heure de fin de l'analyse.

  • Fichiers analysés : nombre total de fichiers et de répertoires numérisés.

  • Nombre total de Go numérisés : quantité de stockage analysée au cours du processus.

  • ID de recherche du déclencheur : ID de recherche du GuardDuty résultat à l'origine de cette analyse des logiciels malveillants.

  • Les informations suivantes sont disponibles dans la section Détails de volume du panneau des détails.

    • Volume ARN : nom de ressource Amazon (ARN) du volume.

    • Instantané ARN : ARN de l'instantané du EBS volume.

    • État : état de l'analyse du volume, tel que Running, Skipped et Completed.

    • Type de chiffrement : type de chiffrement utilisé pour chiffrer le volume. Par exemple, CMCMK.

    • Nom de l'appareil : nom de l'appareil. Par exemple, /dev/xvda.

Protection contre les logiciels malveillants pour S3 : recherche de détails

Les informations suivantes relatives à l'analyse des programmes malveillants sont disponibles lorsque vous activez à la fois GuardDuty la protection contre les programmes malveillants pour S3 dans votre Compte AWS :

  • Menaces : liste des menaces détectées lors de l'analyse des logiciels malveillants.

    Menaces potentielles multiples dans les fichiers d'archive

    Si vous avez un fichier d'archive contenant potentiellement plusieurs menaces, Malware Protection for S3 signale uniquement la première menace détectée. Après cela, l'état du scan est marqué comme terminé. GuardDuty génère le type de recherche associé et envoie également EventBridge les événements qu'il génère. Pour plus d'informations sur la surveillance des objets analysés par Amazon S3 à l'aide EventBridge des événements, consultez l'exemple de schéma de notification pour THREATS_ FOUND inRésultat de l'analyse d'objets S3.

  • Chemin de l'élément : liste des chemins d'éléments imbriqués et des détails de hachage de l'objet S3 scanné.

    • Chemin de l'élément imbriqué : chemin de l'élément de l'objet S3 scanné où la menace a été détectée.

      La valeur de ce champ n'est disponible que si l'objet de niveau supérieur est une archive et si une menace est détectée dans une archive.

    • Hachage : hachage de la menace détectée dans cette constatation.

  • Sources — Les valeurs potentielles sont Bitdefender etAmazon.

    Pour plus d'informations sur le moteur d'analyse utilisé pour détecter les programmes malveillants, consultezGuardDuty moteur d'analyse pour la détection des malwares.

Action

L'action d'un résultat donne des détails sur le type d'activité qui a déclenché le résultat. Les informations disponibles varient selon le type d'action.

Type d'action : type d'activité du résultat. Cette valeur peut être NETWORK_ CONNECTION, PORT_ PROBE, DNS_ REQUESTCALL, AWS_API_ ou RDS_ LOGIN _ ATTEMPT. Les informations disponibles varient selon le type d'action :

  • NETWORK_ CONNECTION — Indique que le trafic réseau a été échangé entre l'EC2instance identifiée et l'hôte distant. Ce type d'action contient les informations supplémentaires suivantes :

    • Direction de connexion : direction de connexion réseau observée dans l'activité qui a incité GuardDuty à générer le résultat. Il peut s'agir de l'une des valeurs suivantes :

      • INBOUND— Indique qu'un hôte distant a établi une connexion à un port local sur l'EC2instance identifiée dans votre compte.

      • OUTBOUND— Indique que l'EC2instance identifiée a établi une connexion avec un hôte distant.

      • UNKNOWN— Indique qu'il n' GuardDuty a pas été possible de déterminer le sens de la connexion.

    • Protocole : protocole de connexion réseau observé dans l'activité qui a incité GuardDuty à générer le résultat.

    • IP locale : adresse IP source d'origine du trafic ayant déclenché le résultat. Cette information permet de faire la distinction entre l'adresse IP d'une couche intermédiaire via laquelle les flux transitent et l'adresse IP source d'origine du trafic qui a déclenché la recherche. Par exemple, l'adresse IP d'un EKS pod par opposition à l'adresse IP de l'instance sur laquelle le EKS pod est exécuté.

    • Bloqué : indique si le port cible est bloqué.

  • PORT_ PROBE — Indique qu'un hôte distant a sondé l'EC2instance identifiée sur plusieurs ports ouverts. Ce type d'action contient les informations supplémentaires suivantes :

    • IP locale : adresse IP source d'origine du trafic ayant déclenché le résultat. Cette information permet de faire la distinction entre l'adresse IP d'une couche intermédiaire via laquelle les flux transitent et l'adresse IP source d'origine du trafic qui a déclenché la recherche. Par exemple, l'adresse IP d'un EKS pod par opposition à l'adresse IP de l'instance sur laquelle le EKS pod est exécuté.

    • Bloqué : indique si le port cible est bloqué.

  • DNS_ REQUEST — Indique que l'EC2instance identifiée a demandé un nom de domaine. Ce type d'action contient les informations supplémentaires suivantes :

    • Protocole : protocole de connexion réseau observé dans l'activité qui a incité GuardDuty à générer le résultat.

    • Bloqué : indique si le port cible est bloqué.

  • AWS_API_ CALL — Indique qu'un AWS API a été invoqué. Ce type d'action contient les informations supplémentaires suivantes :

    • API— Nom de l'APIopération qui a été invoquée et donc invitée GuardDuty à générer ce résultat.

      Note

      Ces opérations peuvent également inclure des API événements non capturés par AWS CloudTrail. Pour plus d'informations, consultez la section APIÉvénements non capturés par CloudTrail.

    • Agent utilisateur : agent utilisateur à l'origine de la API demande. Cette valeur vous indique si l'appel a été effectué depuis le AWS Management Console, un AWS service, le AWS SDKs, ou le AWS CLI.

    • ERRORCODE— Si la recherche a été déclenchée par un échec d'APIappel, le code d'erreur correspondant à cet appel s'affiche.

    • Nom du service : DNS nom du service qui a tenté de passer l'APIappel qui a déclenché la recherche.

  • RDS_ LOGIN _ ATTEMPT — Indique qu'une tentative de connexion à la base de données potentiellement compromise a été effectuée à partir d'une adresse IP distante.

    • Adresse IP : adresse IP distante utilisée pour effectuer la tentative de connexion potentiellement suspecte.

Acteur ou cible

Un résultat a une section Acteur si le rôle de la ressource était TARGET. Cela indique que votre ressource a été ciblée par une activité suspecte, et la section Acteur contient des détails sur l'entité qui a ciblé votre ressource.

Un résultat a une section Cible si le rôle de la ressource était ACTOR. Cela indique que votre ressource a été impliquée dans une activité suspecte contre un hôte distant, et cette section contiendra des informations sur l'IP ou le domaine ciblé par votre ressource.

Les informations disponibles dans la section Acteur ou Cible peuvent inclure les éléments suivants :

  • Affilié — Informations indiquant si le AWS compte de l'APIappelant distant est lié à votre GuardDuty environnement. Si cette valeur est la mêmetrue, l'APIappelant est affilié à votre compte d'une manière ou d'une autre ; si false l'APIappelant ne provient pas de votre environnement.

  • ID de compte distant : ID de compte propriétaire de l'adresse IP sortante utilisée pour accéder à la ressource sur le réseau final.

  • Adresse IP : adresse IP impliquée dans l'activité qui a incité GuardDuty à générer le résultat.

  • Emplacement : informations de localisation de l'adresse IP impliquée dans l'activité GuardDuty à l'origine de la recherche.

  • ISPOrganisation : informations relatives à l'organisation concernant l'adresse IP impliquée dans l'activité GuardDuty à l'origine du résultat.

  • Port : numéro de port impliqué dans l'activité GuardDuty à l'origine de la recherche.

  • Domaine : domaine impliqué dans l'activité qui a incité GuardDuty à générer le résultat.

  • Domaine avec suffixe : domaine de deuxième et de premier niveau impliqué dans une activité susceptible d'inciter GuardDuty à générer le résultat. Pour obtenir la liste des domaines de premier et de deuxième niveau, consultez la liste des suffixes publics.

Détails de géolocalisation

GuardDuty détermine l'emplacement et le réseau des demandes à l'aide de bases de MaxMind données GeoIP. MaxMind indique une très grande précision de ses données au niveau du pays, bien que la précision varie en fonction de facteurs tels que le pays et le type d'adresse IP. Pour plus d'informations MaxMind, consultez la section Géolocalisation MaxMind IP. Si vous pensez que l'une des données GeoIP est incorrecte, envoyez une demande de correction à MaxMind at MaxMindCorrect IP2 Geo Data.

Informations supplémentaires

Tous les résultats ont une section Informations supplémentaires incluant les informations suivantes :

  • Nom de la liste de menaces : nom de la liste de menaces qui inclut l'adresse IP ou le nom de domaine impliqué dans l'activité GuardDuty à l'origine de la découverte.

  • Exemple : une valeur vraie ou fausse qui indique s'il s'agit d'un exemple de résultat.

  • Archivé : une valeur vraie ou fausse qui indique si ce résultat a été archivé.

  • Inhabituelle : détails d'une activité qui n'a pas été observée historiquement. Il peut s'agir d'un utilisateur inhabituel (non observé auparavant), d'un lieu, d'une heure, d'un compartiment, d'un comportement de connexion ou d'une ASN organisation.

  • Protocole inhabituel : protocole de connexion réseau impliqué dans l'activité GuardDuty à l'origine du résultat.

  • Informations sur l'agent : informations sur l'agent de sécurité actuellement déployé sur le EKS cluster de votre Compte AWS. Cela ne s'applique qu'aux types de recherche de EKS Runtime Monitoring.

    • Version de l'agent : version de l'agent GuardDuty de sécurité.

    • ID de l'agent : identifiant unique de l'agent GuardDuty de sécurité.

Preuve

Les résultats basés sur les renseignements sur les menaces comportent une section Preuve qui comprend les informations suivantes :

  • Informations détaillées sur les menaces : nom de la liste des menaces sur laquelle Threat name figure la menace reconnue.

  • Nom de la menace : nom de la famille de logiciels malveillants ou autre identifiant associé à la menace.

  • Fichier de menace SHA256 : SHA256 du fichier à l'origine de la découverte.

Comportement anormal

Les types de résultats qui se terminent par AnomalousBehaviorindiquent que le résultat a été généré par le modèle d'apprentissage automatique (ML) de détection des GuardDuty anomalies. Le modèle ML évalue toutes les API demandes adressées à votre compte et identifie les événements anormaux associés aux tactiques utilisées par les adversaires. Le modèle ML suit divers facteurs de la API demande, tels que l'utilisateur qui a fait la demande, le lieu d'où la demande a été faite et les API informations spécifiques demandées.

Vous trouverez des détails sur les facteurs de la API demande qui sont inhabituels pour l'identité de l' CloudTrail utilisateur qui a invoqué la demande dans les détails de la recherche. Les identités sont définies par l' CloudTrail userIdentity élément, et les valeurs possibles sont les suivantes : Root IAMUserAssumedRole,FederatedUser,AWSAccount, ouAWSService.

Outre les détails disponibles pour tous les GuardDuty résultats associés à API l'activité, les AnomalousBehaviorrésultats comportent des détails supplémentaires qui sont décrits dans la section suivante. Ces détails peuvent être consultés dans la console et sont également disponibles dans les résultatsJSON.

  • Anormal APIs : liste de API demandes invoquées par l'identité de l'utilisateur à proximité de la API demande principale associée à la recherche. Ce volet détaille davantage les détails de l'APIévénement de la manière suivante.

    • La première API liste est la principaleAPI, c'est-à-dire la API demande associée à l'activité observée présentant le plus haut risque. C'est ce API qui a déclenché la découverte et qui est en corrélation avec la phase d'attaque du type de découverte. C'est également ce API qui est détaillé dans la section Action de la console et dans les résultatsJSON.

    • Toutes les autres anomalies APIs répertoriées sont APIs des anomalies supplémentaires par rapport à l'identité utilisateur répertoriée observée à proximité du principalAPI. S'il n'y en a qu'une API sur la liste, le modèle ML n'a identifié aucune API demande supplémentaire provenant de cette identité d'utilisateur comme anormale.

    • La liste des APIs est divisée selon qu'un API a été appelé avec succès ou sans succès, ce qui signifie qu'une réponse d'erreur a été reçue. API Le type de réponse d'erreur reçue est indiqué au-dessus de chaque appel API non réussi. Les types de réponse d'erreur possibles sont les suivants : access denied, access denied exception, auth failure, instance limit exceeded, invalid permission - duplicate, invalid permission - not found et operation not permitted.

    • APIssont classés en fonction du service qui leur est associé.

    • Pour plus de contexte, choisissez Historique APIs pour afficher les informations relatives au sommetAPIs, jusqu'à un maximum de 20, généralement visibles à la fois pour l'identité de l'utilisateur et pour tous les utilisateurs du compte. Ils APIs sont marqués comme rares (moins d'une fois par mois), peu fréquents (quelques fois par mois) ou fréquents (tous les jours ou toutes les semaines), selon la fréquence à laquelle ils sont utilisés dans votre compte.

  • Comportement inhabituel (compte) : cette section fournit des informations supplémentaires sur le comportement profilé de votre compte.

    Comportement profilé

    GuardDuty se renseigne en permanence sur les activités de votre compte en fonction des événements survenus. Ces activités et leur fréquence observée sont connues sous le nom de comportement profilé.

    Les informations suivies dans ce panneau incluent :

    • ASNOrg : organisation du numéro du système autonome (ASN) à partir de laquelle l'APIappel anormal a été effectué.

    • Nom d'utilisateur : nom de l'utilisateur qui a effectué l'APIappel anormal.

    • Agent utilisateur : agent utilisateur utilisé pour effectuer l'APIappel anormal. L'agent utilisateur est la méthode utilisée pour effectuer l'appel, comme aws-cli ou Botocore.

    • Type d'utilisateur : type d'utilisateur à l'origine de l'APIappel anormal. Les valeurs possibles sont AWS_SERVICE, ASSUMED_ROLE, IAM_USER ou ROLE.

    • Compartiment : nom du compartiment S3 auquel on a accédé.

  • Comportement inhabituel (identité de l'utilisateur) : cette section fournit des détails supplémentaires sur le comportement profilé de l'identité de l'utilisateur impliqué dans le résultat. Lorsqu'un comportement n'est pas identifié comme historique, cela signifie que le modèle GuardDuty ML n'a jamais vu l'identité de cet utilisateur effectuer cet API appel de cette manière au cours de la période de formation. Les informations supplémentaires suivantes concernant l'identité de l'utilisateur sont disponibles :

    • ASNOrg — L'ASNorganisation à partir de laquelle l'APIappel anormal a été passé.

    • Agent utilisateur : agent utilisateur utilisé pour effectuer l'APIappel anormal. L'agent utilisateur est la méthode utilisée pour effectuer l'appel, comme aws-cli ou Botocore.

    • Compartiment : nom du compartiment S3 auquel on a accédé.

  • Comportement inhabituel (compartiment) : cette section fournit des informations supplémentaires sur le comportement profilé du compartiment S3 associé au résultat. Lorsqu'un comportement n'est pas identifié comme historique, cela signifie que le modèle GuardDuty ML n'a jamais vu d'APIappels passés à ce compartiment de cette manière au cours de la période de formation. Les informations suivies dans cette section incluent :

    • ASNOrg — L'ASNorganisation à partir de laquelle l'APIappel anormal a été passé.

    • Nom d'utilisateur : nom de l'utilisateur qui a effectué l'APIappel anormal.

    • Agent utilisateur : agent utilisateur utilisé pour effectuer l'APIappel anormal. L'agent utilisateur est la méthode utilisée pour effectuer l'appel, comme aws-cli ou Botocore.

    • Type d'utilisateur : type d'utilisateur à l'origine de l'APIappel anormal. Les valeurs possibles sont AWS_SERVICE, ASSUMED_ROLE, IAM_USER ou ROLE.

    Note

    Pour plus de détails sur les comportements historiques, choisissez Comportement historique dans la section Comportement inhabituel (compte), ID utilisateur ou Compartiment pour afficher les détails du comportement attendu dans votre compte pour chacune des catégories suivantes : Rare (moins d'une fois par mois), Peu fréquent (quelques fois par mois) ou Fréquent (quotidien ou hebdomadaire), selon la fréquence à laquelle ils sont utilisés dans votre compte.

  • Comportement inhabituel (base de données) : cette section fournit des informations supplémentaires sur le comportement profilé de l'instance de base de données associée au résultat. Lorsqu'un comportement n'est pas identifié comme historique, cela signifie que le modèle GuardDuty ML n'a jamais connu de tentative de connexion de cette manière à cette instance de base de données au cours de la période de formation. Les informations suivies pour cette section dans le panneau de résultat incluent :

    • Nom d'utilisateur : nom d'utilisateur utilisé pour effectuer la tentative de connexion anormale.

    • ASNOrg — L'ASNorganisation à partir de laquelle la tentative de connexion anormale a été effectuée.

    • Nom de l'application : nom de l'application servant à effectuer la tentative de connexion anormale.

    • Nom de la base de données : nom de l'instance de base de données impliquée dans la tentative de connexion anormale.

    La section Comportement historique fournit plus de contexte sur les noms d'utilisateur, d'ASNorganisations, d'applications et de bases de données précédemment observés pour la base de données associée. Chaque valeur unique est associée à un nombre représentant le nombre de fois qu'elle a été observée lors d'un événement de connexion qui a abouti.

  • Comportement inhabituel (cluster Kubernetes de compte, espace de noms Kubernetes et nom d'utilisateur Kubernetes) : cette section fournit des informations supplémentaires sur le comportement profilé du cluster Kubernetes et de l'espace de noms associé au résultat. Lorsqu'un comportement n'est pas identifié comme historique, cela signifie que le modèle GuardDuty ML n'a pas précédemment observé ce compte, ce cluster, cet espace de noms ou ce nom d'utilisateur de cette manière. Les informations suivies pour cette section dans le panneau de résultat incluent :

    • Nom d'utilisateur : utilisateur qui a appelé le Kubernetes API associé à la recherche.

    • Nom d'utilisateur usurpé : l'utilisateur usurpé par username.

    • Namespace : espace de noms Kubernetes au sein du cluster EKS Amazon où l'action s'est produite.

    • Agent utilisateur : agent utilisateur associé à l'appel KubernetesAPI. L'agent utilisateur est la méthode utilisée pour effectuer l'appel, comme kubectl.

    • API— Les Kubernetes API appelés par username le cluster Amazon. EKS

    • ASNInformations — Les ASN informations, telles que l'organisation etISP, associées à l'adresse IP de l'utilisateur effectuant cet appel.

    • Jour de la semaine : jour de la semaine où l'APIappel Kubernetes a été effectué.

    • Autorisation — L'accès au verbe et à la ressource Kubernetes est vérifié pour indiquer s'ils username peuvent ou non utiliser Kubernetes. API

    • Nom du compte de service : compte de service associé à la charge de travail Kubernetes qui fournit une identité à la charge de travail.

    • Registre : registre de conteneurs associé à l'image de conteneur déployée dans le workload Kubernetes.

    • Image : image du conteneur, sans les balises ni le résumé associés, déployée dans le workload Kubernetes.

    • Config du préfixe d'image : préfixe d'image pour lequel la configuration de sécurité du conteneur et de la charge de travail est activéeprivileged, par exemple hostNetwork ou pour le conteneur utilisant l'image.

    • Nom du sujet — Les sujets, tels que a usergroup, ou serviceAccountName qui sont liés à un rôle de référence dans un RoleBinding ouClusterRoleBinding.

    • Nom du rôle : nom du rôle impliqué dans la création ou la modification des rôles ou du roleBindingAPI.

Anomalies basées sur le volume S3

Cette section détaille les informations contextuelles relatives aux anomalies basées sur le volume S3. La fonction de recherche basée sur le volume (Exfiltration:S3/AnomalousBehavior) surveille le nombre inhabituel d'APIappels S3 effectués par les utilisateurs vers les compartiments S3, ce qui indique une exfiltration potentielle de données. Les API appels S3 suivants sont surveillés pour détecter les anomalies en fonction du volume.

  • GetObject

  • CopyObject.Read

  • SelectObjectContent

Les métriques suivantes aideront à établir une base de référence du comportement habituel lorsqu'une IAM entité accède à un compartiment S3. Pour détecter l'exfiltration de données, le résultat de détection d'anomalies basées sur le volume évalue toutes les activités par rapport à la référence comportementale habituelle. Choisissez Comportement historique dans les sections Comportement inhabituel (identité utilisateur), Volume observé (identité utilisateur) et Volume observé (compartiment) pour afficher les métriques suivantes, respectivement.

  • Nombre d's3-api-nameAPIappels appelés par l'IAMutilisateur ou le IAM rôle (dépend de celui qui a été émis) associés au compartiment S3 concerné au cours des dernières 24 heures.

  • Nombre d's3-api-nameAPIappels appelés par l'IAMutilisateur ou le IAM rôle (dépend de celui qui a été émis) associés à tous les compartiments S3 au cours des dernières 24 heures.

  • Nombre d's3-api-nameAPIappels concernant tous les IAM utilisateurs ou IAM rôles (en fonction de celui qui a été émis) associés au compartiment S3 concerné au cours des dernières 24 heures.

RDSanomalies liées à l'activité de connexion

Cette section détaille le nombre de tentatives de connexion effectuées par l'acteur inhabituel et est regroupée en fonction du résultat des tentatives de connexion. Les RDSTypes de détection de protection identifient les comportements anormaux en surveillant les événements de connexion pour détecter les modèles inhabituels de successfulLoginCount, failedLoginCount et incompleteConnectionCount.

  • successfulLoginCount— Ce compteur représente la somme des connexions réussies (combinaison correcte d'attributs de connexion) établies avec l'instance de base de données par l'acteur inhabituel. Les attributs de connexion incluent le nom d'utilisateur, le mot de passe et le nom de la base de données.

  • failedLoginCount— Ce compteur représente la somme des tentatives de connexion échouées (infructueuses) effectuées pour établir une connexion à l'instance de base de données. Il indique qu'un ou plusieurs attributs de la combinaison de connexion, tels que le nom d'utilisateur, le mot de passe ou le nom de base de données, étaient incorrects.

  • incompleteConnectionCount— Ce compteur représente le nombre de tentatives de connexion qui ne peuvent être classées comme réussies ou échouées. Ces connexions sont fermées avant que la base de données ne fournisse une réponse. Par exemple, l'analyse des ports lorsque le port de base de données est connecté, mais qu'aucune information n'est envoyée à la base de données, ou lorsque la connexion a été interrompue avant la fin de la connexion lors d'une tentative réussie ou infructueuse.